|
Trojaner bzw. DNS Changer/Rootkit Hallo zusammen, ich habe ein kleines großes Problem, ich habe mir heute versehentlich einen Virus eingefangen und weiss nichts damit anzufangen, denn er lässt sich nicht so einfach löschen bzw. verursacht massive Probleme die ich bis jetzt nur teilweise beheben konnte. Ich habe mich etwas durch das Forum gelesen, jedoch sind da soviele Themen die sich mit Rootkits und DNS-Changer befassen, dass ich leider keine Ahnung habe wo ich anfangen soll bzw. was das überhaubt für ein Virus ist. Meine Situation sieht folgendermaßen aus: wenn ich auf mein Arbeitsplatz gehe und eine der beiden HDDs auswähle, bekomme ich die folgende Fehlermeldung http://www1.picfront.org/picture/Na2...lermeldung.jpg außerdem startet sich dann die msiexec.exe im Taskmanager und folgendes passiert -> DNS Server change http://www1.picfront.org/picture/lrs...ns_changer.jpg Ich kann zwar durch Adressleisteneingabe "c:\" auf die Platte zugreifen, ist jedoch auf Dauer umständlich und so ganz trau ich dem Braten nicht. Im Recycler Ordner befindet sich außerdem folgendes. http://www1.picfront.org/picture/P1C...clerfolder.jpg Die 2 .exen habe ich mal gescannt und rausgekommen ist folgendes Virustotal.com Scanergebnis Code: TR/TDss.twfZitat:
Nun zu den Logfiles HijackThis Scan Zitat:
Zitat:
Module \systemroot\system32\drivers\gaopdxserv.sys (*** hidden *** ) B5A22000-B5A38000 (90112 bytes) Service C:\WINDOWS\system32\drivers\gaopdxjcbfametmewbyrilolessivyuwjrrpil.sys (*** hidden *** ) [SYSTEM] gaopdxserv.sys <-- ROOTKIT !!! PS: Ich bin kein Profi und hoffe deshalb, dass mir jemand dabei helfen kann ohne, dass ich mein PC neu aufsetzen muss. Über jegliche Hilfe und Tipps wäre ich sehr dankbar. Gruß Omni~ |
Zitat:
Wie schon von dir selbst erwähnt, DNSchanger. Kein OnlineBanking, eBay und Amazon etc. pp. durchführen bitte, Kenn- und Passwörter von einem SAUBEREN Rechner ändern und bei Auffälligkeiten die Bank informieren und das Konto sperren lassen. Lasse mal bitte Malwarebytes durchlaufen und deaktiviere deine Systemwiederherstellung, ist in dem fall eh unsinnig, da du dir den ganzen Mist eh sonst wieder holst. Zitat:
Das GaoTeil mal wieder. Nerviges Teil. Ich versuche derweil jemanden mit Combofix zu finden. EDIT: Zitat:
|
Hi, wir lassen erst einmal Avenger los (wenn das nicht geht, kommt die große Kanone combofix): Also: Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: http://saved.im/mzi3ndg3nta0/aven.jpg 2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code: Drivers to delete:4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. Danach bitte sofort mit MAM loslegen (eigentlich müsste auch AVIRA sofort anspringen).. Malwarebytes Antimalware (MAM). Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html Fullscan und alles bereinigen lassen! Log posten. Alternativer Download: http://filepony.de/download-malwarebytes_anti_malware/, http://www.gt500.org/malwarebytes/mbam.jsp Alle Logs posten und prüfe vor der Orgie, dass auf jeden Fall die Umleitung über die Ukraine weg ist (s. Angel's post!) chris |
Das Teil versucht derweil ständig die Firewall auszuschalten. Mit Malwarebytes kann ich leider nicht behilflich sein, denn es startet leider erst garnicht. Es kommt kurz die Sanduhr und nach einer Sekunde ist sie auch schon wieder weg und es passiert garnichts. Gibt es eine möglichkeit diese Reg Einträge zu entfernen ? Mit regedit bzw. dem Regeditor von GMER konnte ich diese Einträge leider nicht finden. Sind wohl gut versteckt. Gibt es noch eine alternative zu Malwarebytes oder evtl. einen Tipp wie ich das Programm zum laufen bringe. Habe auch schon Abgesichtert gebootet und trotzdem kein Erfolg. Habe Win XP Pro SP3. |
Ja es gibt eine Alternative zu MBAM und zwar Superantispyware .... Bitte Full Scan und Log hier rein. und die Schritte von Chris4You ausführen. |
Hi, zuerst bitte mit Avenger den Rootkit ausschalten, alles andere (ausser Combofix) wird wohl nicht gehen, in dem Fall bereits im Downloaddialog mam umbenennen auf test.com, das gleiche mit avenger... Solange der Rootkit läuft wirst Du nichts (auch nicht aus der Registry entfernen können, der merkt das und nimmt die Änderungen zurück (falls er den Versuch der Änderung überhaupt erlaubt))... Ev. im abgesicherten Modus probieren... chris |
Jetzt muss ich grad etwas über mich selbst lachen... "Datei umbennen":o Also wenns test.exe heißt gehts aufeinmal. Die Umleitung habe ich selbsverständlich gleich rausgemacht nachdem ich auf die HDDs nicht zugreifen konnte, sofot internetverbindung gecheckt und rausgemacht und prüfe dies auch alle 2 min. ob sich da was ändert. Bis jetzt stehts glücklicherweise auf "automatisch" und so solls auch bleiben. Ok dann lege ich mal los, Avenger Report Zitat:
Zitat:
Zitat:
|
Hi, das hier ist neu: Code: Rootkit.Agent/Gen-GAOPDXAktualisiere Antivir, stelle dein Antivir ein, wie hier beschrieben: http://www.trojaner-board.de/54192-a...tellungen.html Fullscan und alles bereinigen lassen. Dr. Web ist in solchen Fällen auch zu empfehlen: http://freedrweb.com/?lng=de Report liegt in %userprofile%\doctorweb\cureit.log , bitte posten! Logs bitte posten... Was treibt der Rechner so? chris Ps.: Wir haben noch das "C:\RECYCLER\S-7-9-81-100005882-100031628-100026634-4121.com"-Problem, oder? -> Autorun-Vrius und Autorun disablen! Lade Dir den Flash_disinfector auf den Desktop, starte ihn und folge den Anweisungen... http://www.techsupportforum.com/sect...isinfector.exe oder http://www.trojaner-board.de/72847-f...absichern.html Trenne den Rechner physikalisch vom Netz. Deaktiviere den Hintergrundwächter deines AVP und (falls vorhanden) den TeaTimer. Schließe jetzt alle externe Datenträger mit gedrückter Shift-Taste an Deinen Rechner (Autoplay wird unterbunden). Starte den Flash Disinfector mit einem Doppelklick und folge ggf. den Anweisungen. Wenn der Scan zuende ist, kannst du das Programm schließen. Starte Deinen Rechner neu. |
Zum Thema Antivir, Avira wurde geupgradet nun steht AV 9 zur Verfügung, nicht mehr AV 8 sollte man immer Upgraden. :) viel erfolg weiterhin :) |
- Antivir Einstellungen vorgenommen - GMER Scan gemacht - "gaopdxtodppxmasuvjlqrouipoedkarctdxege" gelöscht - "C:\RECYCLER\S-7-9-81-100005882-100031628-100026634-4121.com" gelöscht. - Flash_disinfector nicht runtergeladen, weil: http://www1.picfront.org/picture/Iwt...esinfector.jpg So hier nochmal der GMER Report Zitat:
Aber ich kann immer noch nicht per dblclick auf meine HDD zugreifen und somit nehme ich an, dass noch viren/rootkit-reste irgendwo rumfliegen EDIT http://www1.picfront.org/picture/Nb7...009_171756.jpg |
Und hier der Antivir Report (sry konnte nicht mehr Editieren) Zitat:
|
Lade dir mal Gmer runter unter >> http://www.gmer.net und scanne ALLE Partitionen durch, nach Rootkits und Malware und Poste das Resultat hier. Danach machst du nochmal ein Fullscan mit Malwarebytes und postest das Ergebnis hier. Poste danach nochmal n neues HJT-Log. |
Hi, das Du noch nicht auf die HD kommst, liegt an den "faulen" Einträgen in der REG und der vom Trojaner "optimierten" autorun.inf. Daher unbedingt den Flashdisinfector laden und laufen lassen. Tatsächlich wird er von Scannern erkannt, das ist aber eine Falschmeldung (daher heist es auch in der Anweisung "realtimeschutz ausschalten"). Die Regeinträge biegen wir damit wieder hin: System Reparieren: Vorher ggf. Backup machen Lade Dir "Advanced Windowscare Professional" von folgender Adresse: http://www.iobit.com/advancedwindows...l?Str=download Installieren auf Deutsch, Yahoo-Toolbar etc. abwählen. Erstelle einen Systemwiederherstellungspunkt (Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen) oder lasse ihn automatisch erstellen. Führe dann einen Update der Signatur/Reperaturdateien aus. Lasse dann das gesamte System scannen und Bereinigen sowie Immunisieren. Damit werden einige Einträge wieder gerade gebogen, die von Trojaneren/Viren verbogen worden sind... Folge auch noch den Anweisungen von Angle (vor dem Rest der Bereinigung)... chris |
Ok Leuts, das Problem habe ich nun behoben. Er versucht nichtmehr den DNS Server zu ändern oder die FW abzuschalten, Rootkit ist auch weg und auf meine HDDs kann ich wieder ganz normal zugreifen. Somit nehme ich wohl an, dass ich wieder sicher im internet surfen kann. Nur mies, dass mein Antivir den Virus nicht von Anfang an erkannt hat... Möchte mich daher bei euch herzlich bedanken, waren alles hammer tipps und haben mich davor bewahrt mein OS neu aufzusetzen. Ein Dreifaches :dankeschoen: :dankeschoen: :dankeschoen: |
die gao einträge in der registry sind auch weg? :) |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 18:25 Uhr. |
Copyright ©2000-2025, Trojaner-Board